LastPassはデータ漏洩の常連です。これまでも何度か注目を集めた漏洩事件に見舞われており、直近の(そして憂慮すべき)事件は昨年発生しました。8月に初めてこの事件が報じられた際、開発元は顧客に影響はないと明言しました。しかし、12月のアップデートではその見解が一転し、顧客データが盗まれたことが明らかになりました。
サービスから退会したいと思っても、責められるべきではありません。今回の情報漏洩では、請求先住所、電話番号、IPアドレスといった個人情報だけでなく、保管庫のデータも盗まれました。そして何よりも恐ろしいのは、保管庫のデータの一部が暗号化されていなかったことです。
嬉しいことに、データのエクスポートは素早く、比較的簡単です。保管庫全体が1つのファイルにまとめられるので、新しいパスワードマネージャーにアップロードできます。
LastPassからパスワードをエクスポートする方法と、その安全な方法をご紹介します。さらに、すべてのオンラインアカウントの安全を確保するために、エクスポート後に行うべきこともご紹介します。
LastPassからパスワードを取得するのは実はとても簡単です。しかし、エクスポートしたファイルの安全性を確保するのは容易ではありません。LastPassはCSVまたはXML形式でエクスポートしますが、これらのファイルは暗号化されていません。
パスワードをプレーンテキストでダウンロードするのは避けましょう。ファイルを削除したとしても、暗号化されていないドライブであれば復元できる可能性があります。また、PCのドライブを暗号化していない人も多いでしょう。
LastPass からエクスポートされたデータは、暗号化されていないファイルに保存されます。(サンプルの CSV ドキュメントを以下に示します)。
PCワールド
もっと簡単な方法は、Windowsで完全に暗号化されたドライブにファイルをダウンロードし、他の場所への情報のインポートが完了したらすぐに完全に削除することです。(ごみ箱に残しておくと、コンピューターにログインしているときはいつでもファイルが暗号化されていない状態で利用可能になります。)これは、PCにログインしている間にデータを復元できるため、万全な方法ではありませんが、妥当な妥協策です。
もう少し手間がかかっても構わないなら、VeraCryptを使って暗号化フォルダを作成し、エクスポートしたVaultデータをその場所にダウンロードすることをお勧めします。これはファイルにとって金庫のような役割を果たします。データはコンテナのロックが解除された時にのみアクセス可能になります。作業が完了したら、ロックされている間にセット全体を削除してください。コンテナのパスワードが共有されない限り、中の貴重な情報は安全に保たれるはずです。
セキュリティ対策を設定したら、次の手順に従って、Web インターフェイスまたはブラウザ拡張機能を使用して LastPass からデータを取得します。
注:モバイルデバイスのみに紐付けられた無料アカウントをご利用の場合は、ウェブ経由でエクスポートできるはずです。そうでない場合は、一時的にマルチデバイスアクセスが可能な有料トライアルを開始することをお勧めします。
ブラウザ拡張機能を使ってLastPassからエクスポートする方法
ステップ1: アカウント設定にアクセスする
PCワールド
- ブラウザ拡張機能を開き、アカウントアイコンをクリックします。
ステップ2:「問題を解決する」メニューオプションを詳しく調べる
PCワールド
- 自分で問題を解決するを選択します。
ステップ3: 保管庫のアイテムをエクスポートする
PCワールド
- 「保管庫のアイテムをエクスポート」をクリックします。ファイルのダウンロードがすぐに開始されます。
注意:ダウンロードしたファイルは暗号化されていない形式です。ファイルにアクセスできる人は誰でも、あなたのパスワードをすべて見ることができます。ファイルを安全にダウンロードする方法については、このセクションの冒頭にある注意事項をご覧ください。
これで、新しいパスワードマネージャー(別のクラウドベースのサービス、またはコンピューターにインストールされているソフトウェア)にファイルをインポートできるようになりました。手順は簡単ですが、問題が発生した場合は、新しいサービスのヘルプページで手順をご確認ください。
LastPassのWebインターフェースからエクスポートする方法
ステップ1:詳細オプションにアクセスする
PCワールド
- 左側のナビゲーションバーで、 「詳細オプション」アイコンをクリックします。下から2番目にあります。
ステップ2: エクスポートを選択
PCワールド
- 「Vaultの管理」で「エクスポート」を選択します。ページ上部に緑色のバナーが表示され、メールを確認するように指示されます。
ステップ3: エクスポートリクエストを確認する
PCワールド
- アカウントに紐付けられたメールアドレスにログインします。LastPassからのメールを開き、メール内の「エクスポートを続行」リンクをクリックします。ブラウザタブが開き、エクスポートの準備が完了したことが表示されます。
ステップ4: ログイン情報を入力してダウンロードを開始します
PCワールド
- 「詳細オプション」>「エクスポート」に戻ります。ダウンロードを開始するには、ユーザー名とパスワードを入力してください。
注意:ダウンロードしたファイルは暗号化されていない形式です。ファイルにアクセスできる人は誰でも、あなたのパスワードをすべて見ることができます。ファイルを安全にダウンロードする方法については、このセクションの冒頭にある注意事項をご覧ください。
このファイルを新しいパスワードマネージャー(別のクラウドベースのサービスでも、コンピューターにインストールされたソフトウェアでも)にインポートできます。手順は簡単ですが、もし問題が発生した場合は、新しいサービスのヘルプページに記載されている手順をご確認ください。
残念ながらまだ終わっていません
通常、パスワードマネージャーを別のサービスに切り替えるのは簡単です。古いサービスからパスワードをエクスポートし、新しいサービスに情報をインポートすれば、元のサービスに戻ることができます。
漏洩を理由にLastPassを放棄すると、事態はさらに複雑になります。ハッカーはあなたの金庫のデータを持っているため、マスターパスワードだけがハッカーとあなたのアカウントへのアクセスを阻む唯一の手段です。セキュリティを確保するには、金庫内のパスワードを変更するのが最善です。
強力なランダムマスターパスワードを設定しておけば、総当たり攻撃による金庫への侵入は非常に困難になるでしょう。しかし、安全を確保したいのであれば、この方法を避けることはできません。LastPassのマスターパスワードを変更しただけでは終わりません。ハッキングされた金庫のデータは、ハッキング時に設定されていたマスターパスワードにリンクされているからです。今マスターパスワードを更新しても、何の役にも立ちません。
istockphoto.com/マヌエル・ソウサ
何百ものパスワードが日常生活の一部となっているため、この作業は一朝一夕でできるものではありません。段階的に進めていくことをお勧めします。
- 新しいパスワードマネージャーに移行する
- 銀行やその他の金融機関、税金申告、政府プログラムなどの重要なサービスのパスワードをすべてすぐに変更してください。誰かがこれらのアカウントを入手した場合に壊滅的な被害をもたらす可能性のあるものはすべて変更してください。
- 残りのパスワードも確認していきましょう。まずは、より機密性の高い情報(住所、生年月日、クレジットカード番号など)が保存されているパスワードから始めましょう。この機会に、ウェブサイトからそれらの情報も削除しましょう。パスワードマネージャーに保存しておきましょう。
LastPassを退会した後は、特に同社がまだ検出していないセキュリティ上の脆弱性が残っているのではないかと懸念している場合は、この対策を講じることをお勧めします。今回の侵害はLastPassにとって初めてのことではありません。また、同社のこれまでの経緯を考えると、おそらく最後でもないはずです。
(LastPass の透明性がそれほど優れているのか、セキュリティの維持がそれほど難しいのか、あるいは単に一般的に攻撃の標的になりやすいだけなのかは、別の機会に答える必要がある質問です。)
何をするにしても、パスワードマネージャーを完全に放棄してはいけません。オンラインセキュリティは不完全であり、それに対する解決策も不完全です。しかし、システムによっては他のシステムよりも欠陥が多いものもあります。パスワードの使い回し、弱いパスワードの使用、メモ帳への書き込みなどは、安全を保つのに効果的ではありません。自分に合った優れたパスワードマネージャー(と使用方法)を見つけてください。
